第三章 身份认证技术

第三章身份认证机制

学习目标：（方正大标宋简体四号）通过学习，要求了解在网络安全中的用户身份认证机制的几种常见形式：口令机制、数字证书的身份认证以及基于IC卡和生物特征的身份认证的原理和应用。

引例：（方正大标宋简体四号）

用户身份认证是对计算机系统中的用户进行验证的过程，让验证者相信正在与之通信的另一方就是他所声称的那个实体。用户必须提供他能够进入系统的证明。身份认证往往是许多应用系统中安全保护的第一道防线，它的失败可能导致整个系统的崩溃，因此，身份认证是建立网络信任体系的基础。

3.1 口令机制（方正大标宋简体四号）

3.1.1什么是口令机制（黑体五号）

网络营销在计算机系统中口令机制是一种最常用、最简单的身份认证方法，一般由用户账号和口令（有的也称为密码）联合组成，如图3-1所示，口令用来验证对应用户账号的某人身份是否真的是计算机系统所允许的合法用户。

图3-1 QQ登陆时采用的口令认证机制

例如，当系统要求输入用户账号和密码时，用户就可以根据要求在适当的位置进行输入，输入完毕确认后，系统就会将用户输入的账号名和密码与系统的口令文件里的用户名和口令进行比较，如果相符，就通过了认证。否则拒绝登录或再次提供机会让用户进行认证。

基于口令的认证方式是最常用和最简单的一种技术，它的安全性仅依赖于口令，口令一旦泄露，用户就有可能被冒充，计算机系统的安全性也将不复存在。

在选用密码时，很多人习惯将特殊的日期、时间、或数字作为密码使用。例如将节假日、自己或家人的出生日期、家庭电话或手机号码身份证等数字作为密码，认为选择这些数字便于记忆。但是这些密码的安全性其实是很差的。

为什么这些口令不安全呢，我们还是先看看目前有哪些口令攻击的形式。

3.1.2什么是弱口令（黑体五号）

网络营销目前绝大多数计算机资源还是通过固定口令的方式来保护。而这种以固定口令为基础的认证方式存在很多问题，变得越来越脆弱。现在对口令的攻击主要包括以下几种：

1．字典攻击主要攻击者将有可能作为密码的放入字典中，例如，一般用户最喜欢的使用的数字、有意义的单词等，然后使用字典中的单词来尝试用户的密码。图3-2是口令字典的截图，它们只是口令字典中的很少一部分。

图3-2 口令字典中用户喜欢的使用的数字

图3-2 口令字典中用户喜欢的使用的字母组合

2．穷举攻击也称蛮力攻击，这是一种广义的字典攻击，它使用字符串的全集作为字典，通过穷举的方式来尝试用户可能使用的密码。因此，如果用户的密码很短，就很容易被穷举出来。

3．网络数据流窃听攻击者通过窃听网络数据，获取用户帐号和口令，如采用Sniffer软件的嗅探功能截获明文传送的用户帐号和口令。

3.1.3 改进方案（黑体五号）

1．选择安全口令为了增加破译密码的强度，更有效地保护自己的密码，在使用密码时应该使注意以下几点：

（1）要随机选择密码数字，切不可使用便于有规律的便于记忆的数字、单词等，这些密码用字典攻击是十分容易的。

（2）在选择密码时，最好能同时使用字母（包括字母的大小写）、数字、特殊符号。如A9d&31，使用这样的密码是相对比较安全的。

（3）在计算机允许的情况下，使用密码位数要尽可能长，至少要多于6位。

（4）应该定期更换密码，很多人长时间地使用一个密码，这是很不好的习惯。对于一般计算机用户来说，至少每隔三个月更换一次密码。

(5) 将使用的密码记录在其他比较安全的地方，但不要放在计算机中。这样

便于忘记密码后重新找回密码。

2．动态口令

固定密码有监听的可能和破译的可能，并且用户记忆密码的也是一个不小的负担，动态口令（有的也叫一次性口令）的方法是每次登录使用不同的口令，每个口令只能使用一次。动态口令认证技术比前面的静态口令相对要安全一些。

动态口令有很多方法可以得到，这里我们介绍的是很多银行目前使用的动态口令卡，口令卡大小类似于银行卡，背面以矩阵形式应有80数字串，需要使用的时候，网上银行系统会随机地给出一组口令卡坐标，客户从卡片上找到坐标对应的密码组合并输入网上银行系统，只有当密码输入正确时，才能完成相关交易，这种密码组合的动态变化，每次交易密码仅使用一次，能有效地避免交易密码被窃取。

图3-3为动态口令卡的反面图样：

图3-3 动态口令卡的反面

如系统提示输入口令坐标S5N1，则用户应该在图3-4界面中输入的动态口令为027468。

图3-4 用户根据动态口令卡输入动态密码

3.1.3 采用LC5测试口令强度（该部分由王峰补充）

简要介绍什么是LC5，有什么功能，给出几个个安全级别不同的口令，测试其安全强度，从而提高读者设置安全口令的意识。

首先简要的介绍一下，什么是LC5?

LC5是一款网络管理员的必备的工具。可以用来检测Windows或UNIX系统用户是否使用了不安全的密码，同样也是最好、最快的Win NT/2000/XP/UNIX 管理员帐号密码破解工具。

在Windows操作系统当中，用户帐户的安全管理使用了安全帐号管理器（Security Account Manager,SAM）的机制，用户和口令经过Hash变换后以Hash列表形式存放在\SystemRoot\system32下的SAM文件中。LC5主要是通过破解SAM文件来获取系统的帐户名和密码。LC5可以从本地系统、其他文件系统、系统备份中获取SAM文件，从而破解出用户口令。

下面，列出了Windows XP系统下的几个安全级别不同的口令及测试的过程：（测试用户名为test）

1.空密码

接下来，对列出的口令一一运用LC5口令强度检测工具测试口令的安全强度。测试步骤：

（1）建立测试账户。在测试主机上建立用户名“test”的账户，方法是依次打开“控制面板”“管理工具”“计算机管理”。在“本地用户和组”下面右击“用户”，选择“新用户”，如下图所示，输入用户名为“test”，密码为空。